DATA DA PUBLICAÇÃO 15/10/2015 | Informática
Como aplicativos de celular protegem o tráfego de dados?
>>> Segurança de dados em apps no celular
Quando acessamos um site com SSL através de uma rede Wi-Fi pública temos a garantia de que os dados não serão interceptados (via sniffing ou Man-in-the-middle, por exemplo), já que estão criptografados. Mas e quanto a aplicativos de celular? Existe alguma forma de proteção como o SSL?
Se não, como posso garantir que meus dados não serão interceptados ao usar uma rede pública?
Obrigado,
Daniel Neves
A maioria dos aplicativos hoje em dia se comunica com o serviço pelo protocolo HTTP, ou seja, exatamente o mesmo que é usado por um navegador web. Em alguns casos, o aplicativo nada mais que é do que um navegador personalizado: o aplicativo "chama" o componente interno do smartphone que baixa e exibe páginas, e coloca isso dentro da janela do app sem outros elementos da interface do navegador. Quer dizer, você usa um navegador web sem barra de endereços, por exemplo, e o app é na verdade uma página web.
Em certos casos, o aplicativo pode ainda se comunicar pelo HTTP, mas usando outros meios de acesso a dados, como REST e JSON. Ou seja, os dados ainda são transferidos por HTTP, mas em outro formato que não uma página web. Cabe ao aplicativo pegar esses dados e organizá-los na tela. O Facebook, por exemplo, funciona assim - ele usa a chamada "Graph API" exclusiva do Facebook.
Sempre que o acesso ocorre por HTTP, independentemente do formato dos dados, a regra é a mesma: o servidor precisa usar HTTPS (HTTP com TLS), da mesma forma que qualquer site seguro. Cabe ao aplicativo verificar se esse certificado está correto. Um dos meios de se fazer isso é por meio da pinagem de certificado (o aplicativo sabe de antemão qual o certificado do site e vai recusar qualquer certificado diferente).
Dessa maneira, o acesso por um app pode ser mais seguro do que por meio de um navegador comum, pois o app tem mais condições para verificar a identidade do servidor do que o navegador teria.
Em outras palavras, o "cadeado" da segurança está lá, apenas não há nada na interface para indicar isso, porque o cadeado é uma indicação para o usuário. Como você está usando o aplicativo de um serviço específico (do seu banco, por exemplo), a indicação é essa (estar no app certo) e a verificação é de responsabilidade do programa.
É claro que às vezes essa mentalidade é ruim, porque não é possível saber se um programa está ou não adotando a segurança. O WhatsApp, por exemplo, não utilizava proteção em suas comunicações. Poucas pessoas sabiam dessa deficiência e ninguém viu diferença quando o programa adotou uma comunicação segura.
Observe que, mesmo em aplicativos sensíveis, essa verificação nem sempre é perfeita, mas a culpa é sempre do aplicativo. A responsabilidade do usuário termina quando ele obteve o aplicativo correto do serviço. É claro que, se você baixar um aplicativo falso do Facebook, por exemplo, seus dados podem ser roubados.
Quando o aplicativo não usa HTTP, ele pode adotar qualquer meio de criptografia que achar mais adequado. Mas isso é raridade.
>>> Site que verifica vazamento de dados
Gostaria de saber o nome do site para verificação se ocorreu roubo de meus dados.
Obrigada
Fabiana Andreoli
Fabiana, se você se refere ao site "Have I Been Pwned?", mencionado nesta coluna na semana passada, você pode seguir o link abaixo:
Cadastro no site Have I Been Pwned?
A coluna já explicou que o serviço tem algumas limitações, mas o cadastro é gratuito e pode ser útil.
Quando acessamos um site com SSL através de uma rede Wi-Fi pública temos a garantia de que os dados não serão interceptados (via sniffing ou Man-in-the-middle, por exemplo), já que estão criptografados. Mas e quanto a aplicativos de celular? Existe alguma forma de proteção como o SSL?
Se não, como posso garantir que meus dados não serão interceptados ao usar uma rede pública?
Obrigado,
Daniel Neves
A maioria dos aplicativos hoje em dia se comunica com o serviço pelo protocolo HTTP, ou seja, exatamente o mesmo que é usado por um navegador web. Em alguns casos, o aplicativo nada mais que é do que um navegador personalizado: o aplicativo "chama" o componente interno do smartphone que baixa e exibe páginas, e coloca isso dentro da janela do app sem outros elementos da interface do navegador. Quer dizer, você usa um navegador web sem barra de endereços, por exemplo, e o app é na verdade uma página web.
Em certos casos, o aplicativo pode ainda se comunicar pelo HTTP, mas usando outros meios de acesso a dados, como REST e JSON. Ou seja, os dados ainda são transferidos por HTTP, mas em outro formato que não uma página web. Cabe ao aplicativo pegar esses dados e organizá-los na tela. O Facebook, por exemplo, funciona assim - ele usa a chamada "Graph API" exclusiva do Facebook.
Sempre que o acesso ocorre por HTTP, independentemente do formato dos dados, a regra é a mesma: o servidor precisa usar HTTPS (HTTP com TLS), da mesma forma que qualquer site seguro. Cabe ao aplicativo verificar se esse certificado está correto. Um dos meios de se fazer isso é por meio da pinagem de certificado (o aplicativo sabe de antemão qual o certificado do site e vai recusar qualquer certificado diferente).
Dessa maneira, o acesso por um app pode ser mais seguro do que por meio de um navegador comum, pois o app tem mais condições para verificar a identidade do servidor do que o navegador teria.
Em outras palavras, o "cadeado" da segurança está lá, apenas não há nada na interface para indicar isso, porque o cadeado é uma indicação para o usuário. Como você está usando o aplicativo de um serviço específico (do seu banco, por exemplo), a indicação é essa (estar no app certo) e a verificação é de responsabilidade do programa.
É claro que às vezes essa mentalidade é ruim, porque não é possível saber se um programa está ou não adotando a segurança. O WhatsApp, por exemplo, não utilizava proteção em suas comunicações. Poucas pessoas sabiam dessa deficiência e ninguém viu diferença quando o programa adotou uma comunicação segura.
Observe que, mesmo em aplicativos sensíveis, essa verificação nem sempre é perfeita, mas a culpa é sempre do aplicativo. A responsabilidade do usuário termina quando ele obteve o aplicativo correto do serviço. É claro que, se você baixar um aplicativo falso do Facebook, por exemplo, seus dados podem ser roubados.
Quando o aplicativo não usa HTTP, ele pode adotar qualquer meio de criptografia que achar mais adequado. Mas isso é raridade.
>>> Site que verifica vazamento de dados
Gostaria de saber o nome do site para verificação se ocorreu roubo de meus dados.
Obrigada
Fabiana Andreoli
Fabiana, se você se refere ao site "Have I Been Pwned?", mencionado nesta coluna na semana passada, você pode seguir o link abaixo:
Cadastro no site Have I Been Pwned?
A coluna já explicou que o serviço tem algumas limitações, mas o cadastro é gratuito e pode ser útil.
Assine nosso Feed RSSAs últimas | Informática
19/09/2018 | Grupo Renault Nissan terá sistema operacional Android em seus carros
18/09/2018 | A corrida para a criação do computador mais poderoso da história
11/06/2018 | Google tira ovos de emoji de salada para agradar veganos
As mais lidas de Informática
Relação não gerada ainda
As mais lidas no Geral
Relação não gerada ainda